Quando a torneira depende de um servidor
Desta vez foi o nível baixo da água nos poços que condicionou o abastecimento na margem sul. Da próxima, a falha pode ter outra origem: um ciberataque. Não é ficção; é uma hipótese mais provável do que gostaríamos de admitir.
Comecemos pelo que sabemos. O setor da água potável é, ao mesmo tempo, dos mais críticos e dos menos protegidos que temos. No relatório NIS360 de 2026 da ENISA (a Agência da União Europeia para a Cibersegurança), publicado em maio, o abastecimento de água e as águas residuais figuram na “zona de risco”: setores cuja criticidade excede a maturidade cibernética, lado a lado com a saúde, a ferrovia, o espaço e as administrações públicas. E o pormenor é revelador: a água entrou agora nessa zona, não por ter piorado, mas porque a fasquia subiu à sua volta. A maturidade dos setores críticos europeus tem, no conjunto, melhorado de forma constante à medida que as organizações respondem à pressão regulatória e à ameaça; a água simplesmente ficou para trás num pelotão que acelerou. A explicação é quase banal na sua gravidade: são operadores ricos em alvos e pobres em recursos. Muitas entidades não sustentam especialistas de segurança a tempo inteiro, enquanto operam bombas, válvulas e sensores de cloro que se tornaram apetecíveis para grupos de ransomware e para atacantes patrocinados por Estados.
A tentação, perante isto, é procurar o exemplo dramático. O apagão ibérico de 28 de abril de 2025 serve, mas pelo motivo oposto ao que se imagina. Aquele foi o dia em que dezenas de milhões de pessoas ficaram às escuras sem saber, durante horas, o que se passava. A causa, apurou-se, não foi um ciberataque, mas sim falhas técnicas e de planeamento na rede, excluindo a hipótese de sabotagem informática. Precisamente por isso, é instrutivo. Se uma cascata de falhas não intencionais conseguiu separar a Península Ibérica do sistema continental europeu em segundos, imagine-se o que um adversário competente e deliberado poderia procurar replicar. Os ataques a tecnologia operacional têm aumentado ano após ano e a inteligência artificial, nas mãos dos atacantes, baixa o custo e acelera a sofisticação, desde o phishing automatizado até ao reconhecimento de sistemas.
A Europa, como quase sempre, respondeu primeiro pela via legislativa. A Diretiva NIS2 (Diretiva (UE) 2022/2555) alarga as obrigações de cibersegurança a setores como energia, transportes, saúde, banca, infraestruturas digitais, administração pública e, não por acaso, o abastecimento de água potável e as águas residuais. Foi transposta para o direito português pelo Decreto-Lei n.º 125/2025, de 4 de dezembro, que aprova o novo Regime Jurídico da Cibersegurança. A par desta, a Diretiva CER (Diretiva (UE) 2022/2557), relativa à resiliência das entidades críticas, foi transposta pelo Decreto-Lei n.º 22/2025, de 19 de março. São dois instrumentos complementares: um cobre o risco cibernético; o outro, a resiliência física e organizativa.
A engrenagem já começou a girar. O Centro Nacional de Cibersegurança publicou o Regulamento n.º 756/2026, de 22 de junho, que operacionaliza o DL 125/2025, e disponibilizou a plataforma MyCiber, através da qual as entidades se autoidentificam e verificam se estão, ou não, abrangidas. Do lado da resiliência, o Governo aprovou já a Estratégia Nacional para a Resiliência das Entidades Críticas (RCM n.º 135/2026, de 26 de junho), que inclui a água entre os setores abrangidos; designada cada entidade, esta terá nove meses para a avaliação de risco e dez para o plano de resiliência. As coimas por incumprimento das obrigações de cibersegurança podem chegar aos 10 milhões de euros ou a 2% do volume de negócios anual, números pensados para tirar o tema da gaveta técnica e o colocar na mesa dos conselhos de administração.
É neste ponto que a discussão deixa de ser jurídica e passa a ser política. As empresas municipais de gestão de água, sendo o abastecimento uma função societal indispensável, estarão presumivelmente entre as entidades chamadas a demonstrar não apenas conformidade formal, mas literacia e prontidão real para lidar com uma disrupção de origem cibernética. E a pergunta incómoda é simples: quantas destas entidades têm hoje um plano de gestão de incidentes que resista a mais do que uma apresentação em PowerPoint?
Os próximos meses serão reveladores. Vamos perceber que operadores trataram a cibersegurança como prioridade ao mais alto nível e quais continuaram a vê-la como despesa e não como investimento, pondo em risco o bem-estar de comunidades não só em Portugal, mas em toda a União Europeia. A próxima interrupção no abastecimento pode muito bem chegar por um servidor comprometido, e não por um poço vazio. A diferença entre uma inconveniência de algumas horas e uma crise de confiança prolongada decide-se agora, na preparação que ninguém vê enquanto a torneira ainda dá água.
O Observador associa-se aos Global ShapersLisbon, comunidade do Fórum Económico Mundial para, semanalmente, discutir um tópico relevante da política nacional visto pelos olhos de um destes jovens líderes da sociedade portuguesa. Ao longo dos próximos meses, irão partilhar com os leitores a visão para o futuro nacional e global, com base na sua experiência pessoal e profissional. O artigo representa, portanto, a opinião pessoal do autor enquadrada nos valores da Comunidade dos Global Shapers, ainda que de forma não vinculativa.